Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03342

Опубликовано: 13 окт. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции OGRExpatRealloc файла ogr/ogr_expat.cpp. библиотеки-транслятора для геопространственных данных GDAL связана с повторным освобождением памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Database
Astra Linux Special Edition
OpenSUSE Leap
Fedora
Astra Linux Special Edition для «Эльбрус»
openSUSE Backports
GDAL
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
12.2.0.1 (Database)
1.6 «Смоленск» (Astra Linux Special Edition)
15.1 (OpenSUSE Leap)
19c (Database)
30 (Fedora)
8 (Debian GNU/Linux)
31 (Fedora)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
SLE-15-SP1 (openSUSE Backports)
1.7 (Astra Linux Special Edition)
до 3.0.1 включительно (GDAL)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
СУБД
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для GDAL:
https://github.com/OSGeo/gdal/commit/148115fcc40f1651a5d15fa34c9a8c528e7147bb
Для Debian:
https://lists.debian.org/debian-lts-announce/2022/01/msg00004.html
https://lists.debian.org/debian-lts-announce/2019/11/msg00005.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CB7RRPCQP253XA5MYUOLHLRPKNGKVZNT/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XVRC3EBQBFBVQC26XJE3AI3KQXC2NGTP/
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00022.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения gdal до версии 2.4.0+dfsg-1osnova0
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет gdal до 2.1.2+dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения gdal до версии 2.1.2+dfsg-5+deb9u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02245
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17545

CVSS3: 9.8
ubuntu
больше 6 лет назад

GDAL through 3.0.1 has a poolDestroy double free in OGRExpatRealloc in ogr/ogr_expat.cpp when the 10MB threshold is exceeded.

nvd логотип

CVE-2019-17545

CVSS3: 9.8
nvd
больше 6 лет назад

GDAL through 3.0.1 has a poolDestroy double free in OGRExpatRealloc in ogr/ogr_expat.cpp when the 10MB threshold is exceeded.

debian логотип

CVE-2019-17545

CVSS3: 9.8
debian
больше 6 лет назад

GDAL through 3.0.1 has a poolDestroy double free in OGRExpatRealloc in ...

suse-cvrf логотип

openSUSE-SU-2019:2466-1

suse-cvrf
около 6 лет назад

Security update for gdal

github логотип

GHSA-f6m2-5v5j-rhf2

CVSS3: 9.8
github
больше 3 лет назад

GDAL through 3.0.1 has a poolDestroy double free in OGRExpatRealloc in ogr/ogr_expat.cpp when the 10MB threshold is exceeded.

EPSS

Процентиль: 84%
0.02245
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2